DESAFIOS DA GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Unidade 1:
Tópico 1 - Introdução:
Vivemos em um mundo em acelerada evolução, estamos sendo moldados pela
revolução digital. Mensagens instantâneas, fotos, compras on-line, transações
bancárias digitais estão na ponta dos nossos dedos.
Nossos dados são salvos em nuvens e acessados em tempo real, pessoas de
vários lugares interagem em reuniões virtuais, isso sem citar a revolução na
comunicação causada pelas mídias sociais.
Já imaginou o caos, se por algum motivo perdêssemos as informações
armazenadas nas nuvens de servidores? Vivemos em uma sociedade onde a
informação é vital e para evitar grandes prejuízos à sociedade é de suma
importância conhecer e entender os princípios que regem a Segurança da
Informação.
A Informação deve ser protegida, os riscos devem ser eliminados, para isso,
devemos entender a importância do estudo da Gestão de Riscos em Segurança da
Informação.
Tópico 2 - Gestão da Segurança da Informação:
Ao pensarmos nos avanços tecnológicos, com suas complexas estruturas e os
formidáveis benefícios gerados para a sociedade, lembramos que a força que
movimenta todo esse avanço é a humanidade, que por sua vez, é mais complexa e
necessita incessantemente relacionar-se consigo mesma e com o ambiente que a
cerca.
A Tecnologia da Informação possibilitou as comunicações a longas distâncias e
desde as primeiras gerações de computadores as informações empresariais eram
armazenadas em arquivos digitais.
Lembrando que essas informações anteriormente eram salvas em documentos de
papel datilografados ou até manuscritos, guardadas em gavetas ou armários
(arquivos de ferro) onde a segurança era apenas física e circunscrita a uma sala
restrita ou até a um cofre.
Mas, hoje, o profissional de Tecnologia da Informação tem um grande desafio,
passou a dar muita atenção à segurança da informação, pois a informação agora é
digital e pode ser acessada de qualquer lugar.
Informação: Ativo cada vez Mais Valorizado -
Bem-vindo às redes convergentes, onde a informação é um ativo empresarial. As
mudanças e novidades são uma constante, aparecem no mercado e provocam
alterações o tempo todo.
Pesquisas, conceitos, experimentos unidos a novos métodos empurram a inovação
a se renovar constantemente. Até meados do século 18 a sociedade era
basicamente agroexportadora, produtores consumiam o que produziam e
praticavam comércio de forma limitada à sua região de alcance.
No século 19 a Inglaterra domina a Revolução Industrial e vem seguida por
Alemanha, França, Rússia e Itália. Nessa fase o emprego do aço, a utilização da
energia elétrica e dos combustíveis derivados do petróleo, a invenção do motor a
explosão, da locomotiva a vapor e o desenvolvimento de produtos químicos foram
as principais inovações desse período que é considerado como sendo “Primeira e
Segunda fases da Revolução Industrial”.
A partir do século 20 começa a fase da Revolução Industrial em que o computador,
telefones, satélites assumem papel de destaque e impulsionam de forma
exponencial a competitividade e transmissão de informação proporcionada por
empresas multinacionais, a informação sempre esteve presente na gestão dos
negócios.
Olhando para nossa história recente, as empresas, independentemente do setor de
mercado em que atuam, sempre utilizaram dos benefícios da informação,
objetivando melhorar a produtividade, redução de custos, aumento de agilidade,
competitividade e apoio à tomada de decisão. Lembrando que um ativo é tudo
aquilo que tem valor para uma empresa, e tudo que tem valor para o negócio deve
ser protegido.
Crescimento da Dependência:
A internet que conhecemos hoje já passou por quatro fases desde sua criação. O
Departamento de Defesa dos Estados Unidos (ARPA - Advanced Research Projects
Agency) com o intuito de facilitar a troca de informações e evitar ataques oriundos
da inteligência soviética, criou um sistema capaz de compartilhar informações entre
várias entidades geograficamente distantes, com o objetivo de facilitar as
estratégias de guerra.
Esse sistema foi ativado em 29 de outubro de 1969 entre a Universidade da
Califórnia e o Instituto de Pesquisa de Stanford e é considerado o primeiro protótipo
da internet , mas o grande disparo da internet aconteceu no fim dos anos 1980 e
começo dos anos 1990.
A primeira fase é representada pela conectividade das redes, marcando o início da
digitalização da informação com o acesso a e-mail, navegadores da web e
pesquisas.
Na segunda fase, iniciam-se os negócios na rede, digitalizam-se os processos das
empresas, surgindo as primeiras lojas on-line, e-commerce, cadeias de
fornecimentos digital e colaborações, porém com baixa interatividade social.
A terceira fase é marcada pela digitalização das interações tanto no âmbito
comercial como social, surgindo as várias plataformas de interação social como
Facebook, Twitter, Instagram, entre outras, seguidas da mobilidade das conexões
móveis e das facilidades do armazenamento nas nuvens de servidores distribuídos
pelo mundo.
Estamos presenciando hoje a quarta fase que representa a digitalização das
conexões do mundo, da plena interação entre pessoas, dos processos, dados e
coisas, ou seja, a Internet das Coisas (IoT).
Numa visão ascendente, cada fase teve um efeito mais profundo nos negócios e na
sociedade determinando a total dependência do mundo contemporâneo em relação
à Tecnologia da Informação.
Reflita:
Estudos feitos pelo Dr. Albert Bandura (maior especialista em influência
comportamental), demonstrou que nosso comportamento é fortemente moldado
com base na observação dos outros.
No experimento que ficou conhecido como do “João-Bobo”, Bandura (1961) tinha
enorme curiosidade sobre como mudar o comportamento humano e ao acompanhar
o aumento da violência, percebeu que ocorreu simultaneamente à difusão da
televisão. Pensando na evolução da Internet, como essa tecnologia tem influência
em nosso estilo de vida e nossa maneira de pensar?
Visão Holística do Risco:
Uma visão holística significa uma visão ampla e abrangente capaz de mostrar toda
a vizinhança de eventos e fatores que podem influenciar a tomada de decisão.
Pensando no risco de perder a informação, devemos perceber que a vida das
empresas é a própria informação.
A informação está distribuída por todos os processos do negócio alimentando-os,
por sua vez esses processos gerenciam diversos ativos, ambientes e tecnologias.
Sendo assim, fica fácil perceber como o nível de risco tem crescido, pois as redes
corporativas ganharam performance e capilaridade, passaram a representar o mais
importante canal de distribuição de informações internas e externas.
Com toda a interligação desses ambientes e processos a integração dos parceiros
da cadeia produtiva é um fato.
Podemos citar o exemplo dos serviços prestados pelas redes bancárias, há alguns
anos o correntista precisava ir a uma agência, a fim de movimentar sua conta
devido às informações estarem parcialmente compartilhadas e só eram acessíveis
através dos caixas ou terminais de autoatendimento, podemos dizer que nessa
época a informação era mais centralizada e o nível de segurança também era
centralizado.
Atualmente, não somos mais obrigados a ir até uma agência para movimentar
nossa conta, pois essas informações estão plenamente compartilhadas com os
correntistas em aplicativos em seus smartphones na ponta dos nossos dedos.
Claramente essas novas condições elevaram o risco das empresas a níveis nunca
vistos antes, pois o nível de segurança exigido agora é totalmente descentralizado,
necessitando de mecanismos de controle e defesa que permitam reduzir o risco e
tornar a informação disponível, mas administrável.
Atualmente, no mundo corporativo, outros processos de tratamento do risco estão
amadurecidos. Podemos citar modelos para o risco jurídico, risco de crédito, risco
financeiro, risco de pessoal, entre tantos, com a evolução das tecnologias ainda há
muito a desenvolver no campo do risco da informação.
Ciclo de vida da Informação:
Após discorrer algumas característicasda informação, mostrando sua importância
para o negócio, nosso próximo passo é compreender um pouco do ciclo de vida da
informação, lembrando que como qualquer ativo a informação também possui um
ciclo de vida.
Toda informação é influenciada por três propriedades principais: Confidencialidade,
Integridade e Disponibilidade, juntamente com os aspectos sobre Autenticidade,
Legalidade que complementam essa influência.
Podemos dividir o ciclo de vida da informação em quatro fases distintas: manuseio,
armazenamento, transporte e descarte.
Confidencialidade é a propriedade que garante que a informação seja acessada
somente por aqueles que têm permissão de acessá-la, ou seja, somente as pessoas
autorizadas podem ter acesso àquela informação.
A Confidencialidade vai diretamente ao encontro de dois tipos de acessos: os
acessos físicos e os acessos lógicos. Definir “quem pode" e "até onde pode"
envolve toda uma parametrização que deve ser bem pensada e analisada, pela
equipe de segurança da informação.
A confidencialidade ou a privacidade garantem que o conteúdo da informação não
seja visível para outras pessoas além dos destinatários pretendidos ou autorizados.
A criptografia é comumente usada para conseguir isso.
A confidencialidade ou a capacidade de ocultar o significado das informações de
pessoas não autorizadas é provavelmente o elemento funcional mais básico no qual
todos os outros elementos funcionais se baseiam.
Integridade é a propriedade que garante que os métodos de processamento
somente podem ser alterados através de ações planejadas e autorizadas. A
informação nunca poderá sofrer alterações, desde o seu envio até o seu
armazenamento, caso isso ocorra a informação não tem mais a integralidade e
perde todo seu valor.
Podemos acrescentar que a integridade da informação se refere à condição de que
a informação recebida não seja alterada acidentalmente no caminho em
comparação com a informação enviada originalmente.
Disponibilidade é a propriedade que garante aos usuários autorizados ter acesso à
informação sempre que for necessário. A Tecnologia da Informação tem que garantir
a "alta disponibilidade", ou seja, que as informações possam ser acessadas em
quase 100% do tempo, com exceções aos períodos de manutenção, onde se
determinam janelas de processamento, manutenção para indisponibilidades
programadas.
Autenticidade é o aspecto da informação relacionada ao não repúdio, ou à não
recusa. A garantia de autenticidade da fonte, ou seja, que o emissor de uma
mensagem é quem realmente diz ser, é quando não podemos negar a autoridade e
a autoria de uma informação.
O não repúdio garante que o remetente é um remetente legítimo da mensagem
recebida e que o remetente não pode contestar posteriormente o envio da
mensagem. Às vezes, o não repúdio é estendido para aplicar-se também ao
receptor.
Legalidade é o aspecto da informação relacionado à situação de conformidade com
as leis e/ou obrigações contratuais, ou seja, estar em conformidade com leis e
regulamentos externos e internos da empresa.
Saiba mais:
Conhecer o ciclo da informação é interessante e ajuda a compreender as várias
ameaças a que a informação pode estar exposta. O vídeo: Segurança da
Informação, Parte 2, apresenta, de forma clara, o ciclo de vida da Informação e
todos os seus detalhes.
Ciclo de Vida da Informação:
Uma informação permanece disponível por um tempo necessário, após um período,
ao perder a utilidade é descartada, a isso chamamos de ciclo da vida da informação.
Esse ciclo é formado por quatro etapas:
Manuseio:
Está relacionado à criação da informação e de como esta é manipulada. Exemplos:
● Digitar informações em aplicativos na Internet.
● Utilizar sua senha de acesso para autenticação.
● Inserção de dados em plataformas ERP.
Armazenamento:
Momento em que a informação é armazenada em banco de dados compartilhados
ou não.
Transporte:
Relativo ao transporte da informação, como a mesma é passada adiante, por
exemplo quando é encaminhada pelos meios digitais por correio eletrônico (e-mail),
ou ao se postar um documento em aplicativos ou meios sociais, ou ao ainda passar
informações confidenciais por ligações telefônicas ou mensagens de texto.
Descarte:
Última fase do ciclo de vida da informação, momento em que a informação é
descartada, excluída e eliminada. Como a informação é um ativo, a forma de
descartá-la é tão importante quanto o momento em que foi criada, caso seja
confidencial o descarte deve garantir que a mesma não poderá ser reutilizada,
causando constrangimentos para o negócio e abrindo brechas de vulnerabilidade.
Tópico 3 - Conhecendo a Gestão da Segurança da
Informação:
A gestão da segurança da informação visa, como o próprio nome diz, gerenciar as
técnicas e processos envolvidos na segurança da informação. As vulnerabilidades
quando são descobertas são alvos fáceis de ataques por hackers.
Uma infraestrutura de segurança e sua gestão não é só necessária, mas obrigatória,
deve abranger além do orçamento financeiro, um planejamento, uma gerência e
uma metodologia bem definida.
Identificando e Conhecendo os Riscos para Informação:
Nos últimos anos, com o aumento das guerras cibernéticas, os ataques são
frequentes e diferenciados e já fazem parte do cotidiano empresarial. Nesse
ambiente hostil o alvo principal é a informação.
Hackers têm se especializado em abordagens sociais e agora também estão
utilizando entidades com inteligência artificial, que facilmente aprendem o
comportamento de uma rede e simulam táticas para passarem invisíveis pelos
firewalls.
A informação, conforme figura a seguir, permeia toda a empresa e alimenta todos os
processos de negócio. Infelizmente a informação está sujeita a muitas ameaças e
vulnerabilidades. As corporações estão se tornando complexas malhas de
comunicações integradas, pelas quais os fluxos de informações são distribuídos e
compartilhados interna e externamente.
Conforme essa complexidade aumenta, conseguimos entender que não existe
segurança total e que cada empresa deverá buscar um equilíbrio no nível de
segurança exigido.
Caso aumente demais o nível de segurança poderá ter perda de velocidade em
algumas transações, gerando assim uma burocracia nos processos, desagradando
os clientes, mas por outro lado se o nível de segurança baixar muito a informação
ficará vulnerável, e o risco de ter uma informação vazada ou comprometida
aumenta.
A equação de equilíbrio não é fácil, muito pelo contrário, é tão complexa quanto
mais complexa for a malha por onde a informação circula, sendo assim uma coisa é
fato: é impossível operar com risco zero. Sempre haverá um risco, que deverá ser
assumido e mitigado pela Gestão de Risco da Segurança da Informação.
A figura a seguir mostra de modo simples a relação entre as funcionalidades e o
nível de segurança em empresas aéreas e negócios distintos. Quanto mais
funcionalidade se deseja o fator risco aumenta e quanto mais segurança se deseja o
fator risco diminui, note que o traço da função nunca será linear, mas seguirá uma
forma definida por cada negócio, sendo assim a avaliação do risco de uma empresa
pode até ser similar a outra, mas nunca será exatamente igual.
Visão Corporativa e a Conscientização do Corpo
Executivo:
Como a informação é um ativo empresarial, o corpo executivo deve tratar a questão
de segurança da informação com a mesma prioridade dada à gestão de
patrimônios.
Os ativos da informação são os elementos que a segurança da informação deverá
proteger devido à sua importância para a corporação. Eles evoluíram e deixaram de
ser apenas bens, como imóveis, terrenos, máquinas, para serem bens intangíveis
como marcas, processos, tecnologias e a informação.
O corpo executivo deve pensar em um Plano Diretor de Segurança, pois a
segurança de uma empresa está diretamente associada à segurança do elo mais
fraco da cadeia.
É preciso ter uma visão corporativa que viabilize ações consistentes e amplas, para
que a corporação atinja o nível de segurança adequado à naturezado seu negócio.
Algumas perguntas poderiam ajudar a melhorar o nível de conscientização
corporativa para segurança da informação, por exemplo:
● Os investimentos realizados em segurança estão alinhados com os objetivos
estratégicos da empresa?
● Os investimentos em segurança podem propiciar um melhor retorno sobre o
investimento?
● As ações corporativas estão orientadas por um Plano Diretor de Segurança?
● As ações corporativas continuam surgindo de acordo com demandas reativas
para cobrir emergências pontuais?
● A empresa está operando em alto risco, seguindo mecanismos de controle
que lhe dão uma falsa sensação de segurança?
Além do que foi dito, ainda muitos são os erros normalmente praticados nos projetos
de segurança da informação, causados pela visão equivocada do problema,
gerando assim uma percepção distorcida, por exemplo:
● Atribuir unicamente à área tecnológica da informação a segurança da
informação;
● Posicionar hierarquicamente a equipe de segurança abaixo da diretoria de TI;
● Definir investimentos para segurança apenas pensando na diretoria de TI,
cometendo o erro de subestimar o investimento;
● Elaborar planos de ação orientados à reatividade;
● Não perceber a conexão direta da segurança com o negócio e, por fim, com
toda a cadeia de serviços dentro da empresa;
● Tratar as atividades relativas à segurança da informação como despesa e
não como investimento;
● Adotar ferramentas pontuais como medida paliativa;
● Ficar satisfeito com a segurança provocada por ações isoladas, dando uma
falsa sensação de que está tudo bem;
● Não divulgar nem propagar ações que cultivem corporativamente a
mentalidade de segurança;
● Tratar a segurança sempre como um projeto e não como um processo,
lembrando que projeto tem um começo, um meio e um fim, já o processo
deve ser contínuo e sempre ser aperfeiçoado.
Retorno sobre o Investimento:
Quando pensamos em investimentos para segurança da informação, temos
algumas dificuldades para justificar o retorno. ROI (Return of Investments), Retorno
sobre o investimento, é uma ferramenta utilizada pelos empreendedores para
avaliar o tempo de retorno de certo investimento, é um instrumento essencial para
apoiar a tomada de decisão nas ações de executivos.
Existem várias formas e várias abordagens para se utilizar o ROI. Resumidamente,
o objetivo principal dessa ferramenta é equacionar de forma equilibrada a relação
custo/benefício , e adequá-la ao negócio. Independentemente da abordagem que a
empresa utilize para o ROI, alguns pontos são importantes para a sua análise e
justificativa:
● Estimar o que a organização poderá perder em um ano, por exemplo, sempre
levando em consideração o impacto e a probabilidade das ameaças se
concretizarem. Lembrando que esse cálculo é uma estimativa passível de
equívocos.
Comumente se comete o erro de calcular a probabilidade baseada em dados
atuais não pensando em expectativas futuras de ocorrências para
determinados incidentes.
Uma boa prática que ajuda a diminuir o erro da estimativa é estar sempre
monitorando as estatísticas de crescimento ou diminuição dos ataques que
estamos considerando;
● Avaliar se as soluções disponíveis para resolver ou amenizar o problema vão
compensar financeiramente. Em primeiro plano estimam-se as perdas a que
a organização ainda estará sujeita após a implantação, assim, será possível
chegar a um percentual que a proteção ajudará a reduzir.
Com esse percentual pronto comparam-se os custos associados à
implantação da ferramenta, treinamento, manutenção e de perda de
produtividade causada pelo uso da proteção. Caso esses custos sejam
maiores do que se esperava economizar o investimento será inviável e
a implementação da proteção não será uma boa escolha
administrativa;
● Analisar impactos indiretos, ou seja, custos relacionados à movimentação de
equipes para solucionar problemas relacionados à falta de segurança, como
remover vírus dos computadores da rede ou o tempo para reconstruir
arquivos ou ainda recuperar backup;
● Avaliar os custos intangíveis e incalculáveis do impacto de uma invasão, seja
ela externa ou interna, gerando roubo de informação que coloca em risco a
continuidade do negócio por indisponibilidade de sistemas, gerando custosos
prejuízos, podemos exemplificar lojas on-line ficando indisponíveis um dia
apenas, a quantidade de vendas perdidas causaria prejuízos em larga
escala.
Um ponto importante que devemos ressaltar também é que todo investimento
possui um ponto de inflexão, ou seja, um ponto na curva de retorno do investimento
onde o retorno já não é mais proporcional ao esforço empregado.
Sendo assim, chega-se à situação não desejada, onde o investir em segurança gera
um montante maior do que o próprio bem a ser protegido. Para entendermos esse
ponto é só pensarmos na utilização de seguros veiculares, podemos nos perguntar
se realmente compensa ou não renovar o seguro veicular em dado ano, visto o valor
do carro.
Desafios da Gestão da Segurança da Informação:
Os desafios atuais para a gestão da segurança da informação estão ligados
diretamente ao aumento da exposição. Com a explosão da internet, a mobilidade
pelos meios de comunicação e a interação da informação atingiram níveis globais
de uma forma nunca vista antes.
À medida que as empresas começaram a se conectar à rede e fazer uso dela para
os negócios, os problemas de segurança da informação explodiram. Saímos de uma
situação em que a informação era sigilosa, disponível apenas em papel e protegida
por cofre, para uma rede mundialmente conectada, pela qual as informações podem
ser interceptadas a qualquer momento.
Fazendo um breve resumo histórico: nos anos 1970 e 1980 o ambiente era
circunscrito a Mainframes, cujo objetivo era apenas proteger os dados e o foco
principal era a confidencialidade. O corpo de informática tinha uma posição de
retaguarda.
Já nos anos 1980 e 1990 os primeiros Mainframe começaram a transmitir seus
dados pelas recém-criadas redes de informação, o objetivo agora era a proteção de
dados mais as informações, sendo assim o foco principal agora, além da
confidencialidade, era a integridade.
Nesse momento, dados e informações circulavam pela rede e o corpo de
informática ainda estava na retaguarda, mas já passava a ter uma posição de
administração e operação. Somente a partir dos anos 1990 os Mainframes em rede
passaram a usufruir da tecnologia IP, que dominou as próximas décadas até os dias
atuais, a proteção agora são os dados, a informação e o conhecimento.
O foco principal não é restrito apenas à confidencialidade e à integridade, agora se
acrescentou o item disponibilidade, pois as portas para os negócios virtuais estão
abertas mudando completamente a posição do corpo de informática que
obrigatoriamente volta seus olhos para a nova modalidade.
A seguir, apresentamos um resumo, mostrando a periodização da evolução recente
da segurança da informação:
Posicionamento Hierárquico:
Diante dos amplos desafios associados à segurança da informação tornou-se
fundamental criar ou adequar a estrutura hierárquica das empresas para suprir as
recentes demandas de segurança para os negócios.
Um dos erros mais comuns visto ultimamente é associar as atividades e
responsabilidades da gestão de segurança à área de tecnologia da informação.
Muitas empresas associam o orçamento para as ações de segurança ao plano
diretor de informática ou ao plano estratégico de TI, mostrando assim uma visão
equivocada do valor do ativo informação.
Modelo de Gestão Corporativa:
O modelo de gestão corporativa adequado não consiste apenas em criar um
departamento ou unidade administrativa e chamá-la de comitê corporativo de
segurança da informação.
É necessário muito mais, é imprescindível levar em consideração os desafios
corporativos que a segurança impõe e formalizar os processos que darão vida e
articulação à gestão. Um Modelo de Gestão Corporativa de Segurança da
Informação deve ser formado pelas seguintes etapas:
Comitê Corporativo de Segurança da Informação:Dentro do modelo de gestão corporativa de segurança da informação, o comitê
corporativo ocupa um lugar centralizado. No ciclo de etapas o comitê é o único que
se relaciona com todas, as principais funções do comitê são:
● Garantir o sucesso da implementação do modelo de gestão corporativa de
segurança da informação;
● Promover a consolidação do modelo de gestão corporativa e segurança da
informação como processo dinâmico;
● Orientar ações corporativas de segurança e todas as etapas do modelo;
● Alinhar o plano de ação às diretrizes estratégicas do negócio;
● Coordenar os agentes de segurança em seus comitês entre os
departamentos.
Mapeamento de Segurança:
Conhecer a topologia da segurança consiste em ter um mapeamento da segurança
e é essencial para nortear os caminhos do modelo. As principais funções dessa
etapa são:
● Identificar as relações relevantes diretas e indiretas entre os diversos
processos do negócio;
● Inventariar todos os ativos físicos, tecnológicos e humanos que sustentam a
operação da empresa;
● Conhecer o cenário atual relativo às ameaças, vulnerabilidades e impactos
possíveis para o negócio;
● Mapear as necessidades e as relações da empresa associada aos itens
básicos do ciclo de vida da informação, ou seja, manuseio, armazenamento,
transporte e descarte;
● Organizar as demandas de segurança do negócio.
Estratégia de Segurança:
A estratégia utilizada para colocar os planos de ação em linha com o negócio é
fundamental para a segurança da informação. As principais funções dessa etapa
são:
● Definir um plano de ação que considere particularidades estratégicas, táticas
operacionais, além das questões físicas, tecnológicas e humanas;
● Criar sinergia entre os cenários presente e o futuro, harmonizar as
expectativas do corpo de executivos.
Planejamento de Segurança:
As principais funções dessa etapa são:
● Elaboração da Política de Segurança da Informação considerando as
particularidades e características de cada processo do negócio;
● Apontar as melhores práticas envolvendo o ciclo de vida da informação,
manuseio, armazenamento, transporte e descarte, minimizando o risco;
● Organizar os comitês entre os departamentos, definindo responsabilidades,
posicionamento e escopo de atuação;
● Capacitação do corpo executivo em técnico, deixando claros os desafios para
atingir os resultados;
● Caso necessário, realizar ações corretivas e emergenciais.
Implantação de Segurança:
A fase de implantação de segurança é mais importante, pois é nesse momento que
tudo o que foi planejado e abordado pela estratégia do negócio será efetivamente
colocado em prática, as funções dessa etapa são:
● Implementar mecanismos de controles de acesso físico e lógico, abordando
várias tecnologias que permitirão a eliminação das vulnerabilidades;
● Divulgar corporativamente a política de segurança, tornando-a o instrumento
oficial de conhecimento de todos na empresa;
● Capacitar os usuários, referente ao ciclo de vida da informação, deixando
claro os riscos no manuseio, armazenamento, transporte e descarte da
informação.
Administração de Segurança:
As funções da administração da segurança são cíclicas e são retroalimentadas
pelas fases de planejamento da segurança e implementação da segurança, as
funções dessa etapa são:
● Monitorar os diversos controles implementados medindo as variáveis que
interferem no nível de risco do negócio;
● Projetar a situação do Retorno Sobre o Investimento, permitindo identificar
resultados alcançados e viabilizar novas necessidades que surgirem por
demanda;
● Garantir a adequação de conformidades do negócio com normas, regras e
legislação;
● Manter planos estratégicos para contingência e recuperação de desastres;
● Administrar os controles implementados, garantindo que suas regras de
operação sigam os critérios definidos na Política de Segurança.
Segurança na Cadeia Produtiva:
A segurança na cadeia produtiva tem como único objetivo equilibrar as medidas de
segurança aos processos de negócio.
Agregando valor ao Negócio:
Todos os pontos anteriormente salientados reforçam o Modelo de Gestão
Corporativo de Segurança, agregando valor às atividades executadas pelo corpo de
segurança da informação.
O Quadro 1.1 mostra os benefícios de uma gestão integrada, que se divide pelas
várias ações que agregam valor ao negócio utilizando os verbos: Valorizar,
Consolidar, Aumentar, Reduzir e Preparar.
Tópico 4 - Segurança da Informação:
Conforme apresentado, a Segurança da Informação é fundamental para o negócio,
deixou de ser tratada como assunto exclusivamente da área técnica de informática e
está associada à área estratégica da empresa, visto ser o ativo mais valioso.
Por exemplo, qualquer incidente num servidor corporativo que acarrete a
indisponibilidade de serviços pode paralisar toda uma linha de produção, ou uma
cadeia de atividades relacionadas com vendas, compras etc.
Existe uma relação intrínseca entre o negócio e a informação de que quanto maior o
grau de integração dos sistemas corporativos, quanto maior o volume de dados e
informações associadas aos níveis de complexidade dos negócios, maior também é
a dependência da Segurança da Informação.
Conceitos sobre Segurança da Informação:
Há uma grande diferença entre Dados e Informações, vamos entender qual é essa
diferença, vejamos as seguintes definições:
● Dados: são conteúdos concretos (conjuntos de bits) administrados pelo
sistema, porém não associados a um contexto.
● Informação: é a interpretação humana dos dados observados, ou seja,
quando o dado foi associado a um contexto.
● Conhecimento: o dado associado a um contexto se transforma em
informação que por sua vez, nos leva ao conhecimento.
Exemplos da diferença entre Dados e Informação. O 22: é um número.
Quando sozinho e não associado a um contexto, é simplesmente um Dado.
Entretanto: 22 de abril de 1500: o número 22 foi associado a um contexto, esse é o
dia em que Pedro Álvares Cabral descobriu o Brasil, logo, passou a ser uma
Informação.
O que é Segurança?
Segurança é proteção, um estado, uma qualidade ou condição de se sentir seguro,
protegido contra adversários, aqueles que causariam dano, intencional ou não ao
objetivo final da segurança.
Segurança é uma certeza, firmeza, convicção de estar seguro, livre de risco,
protegido. Uma organização bem-sucedida deve ter várias camadas de segurança
para proteger suas operações, infraestrutura física, pessoas, funções,
comunicações e informações.
● Segurança das comunicações visa à proteção de todos os meios de
comunicação, tecnologia e conteúdo.
● Segurança de rede é um subconjunto de segurança das comunicações
visando a proteção dos componentes, conexões e conteúdo da rede de voz e
da rede de dados.
● Segurança da Informação tem como objetivo a proteção de três princípios
básicos: Confidencialidade, Integridade e Disponibilidade dos ativos de
informação, seja em armazenamento, processamento ou transmissão,
através da aplicação de políticas, educação, treinamento, conscientização e
tecnologia.
Informação:
No dicionário encontramos o significado de Informação como sendo “conjunto de
dados que tem como efeito informar”. A informação está presente em todos os
lugares, pode ser transferida ou manipulada.
No decorrer da história, vemos diferentes formas de armazenamento da informação,
na antiguidade em pedras e papiros, na Idade Média em bibliotecas com livros
manuscritos. Com a chegada da imprensa a Informação passou a ser transmitida de
forma mais rápida sendo acessível a um número maior de pessoas.
No século passado, com a chegada dos meios de comunicação de massa, como
televisão, rádio, telefone e internet, a informação passou a ser distribuída de forma
exponencial. As informações podem ser públicas, sigilosas, confidenciais,
reservadas.
Podem ser transmitidas de forma escrita, falada, por meios eletrônicos etc. Toda
informação tem um ciclo de vida que determina o tempo necessário para essa
informação ser manuseada, armazenada, transportada e descartada.Ativo:
Ativo de uma empresa é tudo aquilo que tenha valor, sendo assim necessita de
proteção. A informação é o ativo mais importante da empresa, pois está na classe
de ativos intangíveis e possui valor econômico e contábil.
Aspectos da Segurança da Informação:
O valor da informação depende das características que esta possui, quando uma
característica da informação é alterada, o valor dessa informação também muda,
podendo aumentar ou diminuir. Dependendo das circunstâncias, algumas
características afetam o valor da informação para alguns usuários mais do que para
outros.
Características Críticas da Informação:
● Exatidão é um atributo da informação que garante que os dados estão livres
de erros e possuem o valor que o usuário espera.
● Autenticidade é um atributo da informação, que descreve quão genuínos e
originais são os dados, garante que eles não foram copiados de outro lugar
ou fabricados.
● Disponibilidade é o atributo da informação que descreve como os dados são
acessíveis e formatados corretamente para uso sem interferência ou
obstrução.
● Confidencialidade é o atributo da informação que descreve como os dados
são protegidos contra divulgação ou exposição a indivíduos ou sistemas não
autorizados.
● Integridade é o atributo da informação, que descreve como os dados são
completos e foram corrompidos.
● Informações de identificação pessoal (PII) é o conjunto de informações
que podem identificar exclusivamente um indivíduo.
● Posse é o atributo da informação que descreve como a propriedade ou o
controle dos dados é legítimo ou autorizado.
● Utilitário é um atributo da informação que descreve como os dados têm valor
ou severidade para um objetivo final.
Ameaças e Vulnerabilidades:
● Risco: “é a probabilidade de ameaças explorarem vulnerabilidades,
provocando perdas de confidencialidade, integridade e disponibilidade,
causando, possivelmente, impactos nos negócios”.
● Ameaças: “são agentes ou condições que causam incidentes que
comprometem as informações e seus ativos por meio da exploração de
vulnerabilidades, provocando perdas de confidencialidade, integridade e
disponibilidade e, consequentemente, causando impactos aos negócios de
uma organização”.
Quando uma ameaça se concretiza passa a ser chamada de incidente . As
ameaças têm praticamente duas origens:
➢ Ambiental - causadas por fenômenos da natureza. São ameaças acidentais.
Podemos citar o caso de terremotos, furacões, ou ainda eventos como
incêndios, desastres.
➢ Humana - causadas diretamente pela ação de pessoas, podendo ser de
caráter acidental/involuntárias, onde não houve a intenção, inconscientes,
causadas pelo desconhecimento, ignorância, ingenuidade, falta de
treinamento. Podem também ser de caráter intencional/voluntário, quando
houver a intenção de prejudicar.
● Vulnerabilidades: são fraquezas que existem na estrutura dos ativos de
informação, que podem ser exploradas por uma ameaça, resultando na
quebra de um dos princípios da segurança da informação (confidencialidade,
integridade e disponibilidade).
Para que uma vulnerabilidade provoque um incidente (cause impacto), ela
necessita de um agente causador ou uma condição favorável, que são as
ameaças.
Tópico 5 - Conclusão:
Com a crescente evolução tecnológica, a Informação passou a ter valor
estratégico devendo ser protegida, o profissional de Tecnologia da
Informação tem um grande desafio, pois a informação agora é digital.
Nos últimos anos, com o aumento das guerras cibernéticas, o principal alvo é
a informação, sendo assim, é necessário avaliar os custos intangíveis e
incalculáveis do impacto de uma possível invasão. Um roubo de informação
pode colocar em risco a continuidade do negócio de uma empresa.
Atualmente, a Segurança da Informação é fundamental para o negócio e
deixou de ser tratada como assunto exclusivamente da área técnica de
informática e foi associada à área estratégica da empresa, visto ser o ativo
mais valioso, sendo assim existe uma relação intrínseca entre o negócio e a
informação onde a dependência da Segurança da Informação é inevitável.